Vous voyagez en métro pour vous rendre au travail, vous prenez une pause cigarette à l’extérieur du bureau, ou vous vous promenez simplement dans la rue. Vous remarquez quelqu’un avec un sac à dos à proximité, mais cela ne vous préoccupe pas.
30 secondes plus tard, une personne pourrait avoir une copie papier clonée de votre badge d’identification professionnelle, prête à accéder à votre bureau.
Selon le chercheur en sécurité Dennis Maldonado, il est non seulement possible mais également très facile d’après lui. Maldonado, fondateur du groupe Houston Area Hackers Anonyme et expert en tests d’intrusion chez Lares Consulting, a récemment pris la parole lors de la 25e DEF CON annuelle à Las Vegas.
Ils ont montré être très ouverts et réceptifs.
“Il est important de considérer que chacun ici est un testeur de stylo authentique, et non pas un individu mal intentionné,” a plaisanté Maldonado en présentant un système personnalisé qu’il a développé pour copier à distance et reproduire des étiquettes RFID.
Même si vous n’êtes pas familier avec le terme “balise RFID”, il est probable que vous en ayez déjà eu entre les mains. En résumé, la technologie d’identification par radiofréquence (RFID) utilise des ondes électromagnétiques pour suivre et reconnaître des étiquettes spécifiques. Ces étiquettes sont souvent intégrées dans les cartes d’identité d’entreprise, et les employés, en particulier dans le secteur technologique, les utilisent en les approchant des lecteurs pour accéder aux locaux.
Il s’agit de clés numériques qui peuvent être facilement copiées, même à distance.
Maldonado a présenté une plate-forme qui permettrait à un individu malveillant de scanner une carte à distance, à une distance d’environ 2 pieds, puis de transmettre ces données à une machine de clonage (jusqu’à 30 pieds) qui serait ensuite capable de reproduire automatiquement la carte.
Il a simplifié l’installation en créant une application Android qui se connecte à une montre Pebble pour notifier par un son si la lecture de la cible sur la carte était correcte. De plus, étant donné que se tenir debout à proximité de quelqu’un est une pratique courante dans les ascenseurs et les métros, il est peu probable que la victime se rende compte de la situation.
Il a souligné qu’il n’était pas nécessaire d’approcher quelqu’un et de le toucher inappropriément pour obtenir une carte de lecture. Peu après, il a remarqué de façon bruyante que quelqu’un tentait de se connecter à son réseau en plein milieu de la conférence.
Le matériel technologique qu’il a utilisé peut être facilement acheté sur eBay, et il a informé l’audience qu’il avait déjà partagé son code sur GitHub. Maldonado a souligné que la technologie de désactivation à distance des puces RFID est largement utilisée, par exemple dans les parkings, mais il a mis en garde les hackers présents en leur demandant de ne pas les voler.
Peut-être la seule partie de son discours qui n’a pas suscité beaucoup d’intérêt de la part de la foule était celle-ci.
Il a déclaré aux personnes présentes : “En un instant, vous pouvez voler le badge de quelqu’un, obtenir une copie complète, et accéder au bâtiment”. Pour les participants de DEF CON, ce que Maldonado a dit peut sembler être un défi. Cependant, pour ceux qui utilisent une étiquette RFID pour accéder à leur bureau ou à leur domicile, cela devrait être perçu comme un avertissement.
Sujet: Sécurité informatique